En undersökning av lösenordskvalitet på e-handelsplatser

En undersökning av lösenordskvalitet på e-handelsplatser

Författare: Thomas Ahlgren och Martin Stenman 741007 740723

HT 2019

Informatik IK300G, C-nivå, 15 hp Ämne: Informatik

Handelshögskolan vid Örebro universitet Handledare: Per Oscarson

Sammanfattning

De flesta svenskar köper varor och tjänster online. På e-handelsplatserna finns det ofta en möjlighet för användare att registrera ett konto där ett lösenord ska anges. Men hur väl uppfyller e-handelsplatserna rekommendationer för lösenordskvalitet när de skapar konton? Syftet med denna studie är att skapa ett analysramverk utifrån vilket lösenordskvaliteten på e-handelsplatser kan bedömas. Motivet bakom denna studie är att analysera hur god kvalitet som upprätthålls på svenska e-handelsplatser så att slutanvändarna kan få en uppfattning om de e-handelsplatser som prioriterar sina slutanvändare mer genom att säkra deras personliga information.

Målgruppen för denna studie är både ägarna till e-handelsplatserna och kunderna. Denna analys ger en översikt över olika webbplatser till kunderna om hur bra deras lösenordskvalitet är när det gäller att säkra sina kunders personliga information. Studien har en kvalitativ ansats och data har samlats in med utvärderingsprotokoll. Genom att formulera ett analysramverk som består av ett antal kriterier, som är baserade på rekommendationer som är grundade på litteraturgenomgången om vad som identifierar ett lösenord av god kvalitet, jämförs e-handelsplatsernas krav på lösenordskvalitet mot dessa. Resultatet visar att de studerade e-handelsplatserna inte uppfyller kriterierna för vad som kännetecknar ett lösenord av god kvalitet.

Abstract

Most Swedes buy goods and services online. On the e-commerce sites, there is often an opportunity for users to register an account where a password is to be entered. But how well do e-commerce platforms meet password quality recommendations when creating accounts? The purpose of this study is to create an analysis framework from which the quality of passwords on e-commerce sites can be assessed. The motivation behind this study is to analyze how good quality is maintained in Swedish e-commerce sites so that the end users can get an idea about those e-commerce sites who are giving more priority to their end users by securing their personal information.

The target group for this study is both the owners of e-commerce sites and the customers. This analysis provides an overview of different sites to the customers about how good their passwords quality is in terms of securing their customers personal information. The study has a qualitative approach and data has been collected with evaluation protocols. By formulating an analysis framework that consists of a number of criteria, which are based on recommendations based on the literature review on what identifies a good quality password, the e-commerce sites' requirements for password quality are compared against these. The result shows that the e-commerce sites studied do not meet the criteria for what characterizes a good quality password.

Nyckelord/Keywords: e-commerce, strong, password, composition, policy, security, quality, complexity, entropy, length, cracking.

Innehållsförteckning

2.3.3. Metoder för att avslöja ett lösenord i ett e-handelsperspektiv ... 9

2.3.4. Metoder för att tekniskt skydda lösenordshemligheten i ett e-handelsperspektiv ... 11

2.4. Lösenordochanvändbarhet...12

2.5. LösenordskvalitetpåeǦhandelsplatser...13

2.5.1. Kraven på bättre lösenordskvalitet ... 13

2.5.2. Hur kan lösenordskvalitet mätas? ... 14

2.5.3. Skydd mot lösenord av låg kvalitet i ett e-handelsperspektiv ... 14

2.6. Sammanställning–vadärettlösenordavgodkvalitetpåeǦhandelsplatser?...14

2.6.1. Inkluderande kriterier hos e-handelsplatser med lösenord av god kvalitet ... 15

2.6.2. Exkluderande kriterier hos e-handelsplatser med lösenord av god kvalitet ... 17

2.6.3. Bedömning av hur god kvalitet det är på svenska e-handelsplatsers lösenord när användare ska skapa ett konto ... 18

3. Metod...19 3.1. Kvantitativellerkvalitativansats...19 3.2. Metodförteoriinsamling...19 3.3. Utvärderingsprotokollsommetodfördatainsamling...21 3.4. Urvalsmetod...22 3.4.1. Urvalsbias ... 22 3.5. Utrustningochgenomförandeavutvärderingen...22 3.6. Genomförande...23 3.7. Analysmetod...24 3.8. Avgränsning...25 3.9. EtiskaavvägningarochGDPR...25

4. Resultat...26 4.1. Lägstaantalteckensomkrävsvidlösenordsskapande...26 4.2. Antalteckenklassersomkrävs...27 4.3. Övregränsförteckenlängd...27 4.4. Accepterassvenskatecken?...28 4.5. Finnsdetinformationpåskärmdokumentetsomuppmanaranvändarenattangeett meningsbyggtlösenord?...28 4.6. Tillåtsordet”management”(ordboksbaseradattack)?...28 4.7. TillåtereǦhandelsplatsenlösenorden”11111111”,[användarnamnet], ”passwordpassword”(Sekventiellt,kontextbaseratochrepetitivtord)?...28 4.8. TillåtereǦhandelsplatsenlösenorden”12345678”,”qwerty”,”password”(TopǦ10 lösenord)?...29 5. Analys...30 5.1. Lösenordetskabeståavlägståttatecken–inkluderandetema...30 5.2. Lösenordetskahafrånvaroavkravpåkomplexitet–inkluderandetema...31 5.3. EǦhandelsplatsenbörtillåtaanvändarvaldalösenordsomärminst64teckenlånga– inkluderandetema...32 5.4. Svenskateckenböraccepterasilösenordet–inkluderandetema...32 5.5. EǦhandelsplatsenbörinformeraomattmeningsbyggdalösenordrekommenderas– inkluderandetema...32 5.6. Lösenordetskaintebeståavordsomfinnshögstuppilistorövervanligahackade lösenord–exkluderandetema...33 5.7. Lösenordetskaintevarasekventiellt,kontextbaseratellerrepetitivtǦexkluderande tema…...33 5.8. Lösenordetskaintebeståavenstakaordsomåterfinnsiordböcker–exkluderande tema…...34 5.9. BedömningavhurgodkvalitetdetärpåsvenskaeǦhandelsplatserslösenordnär användareskaskapaettkonto–ensammanställningutifråndentematiskaanalysen...34 6. Diskussion...37 6.1. UppfyllereǦhandelsplatsernalösenordskvalitetenligtkriterierna?...37 7. Slutsatsochbidrag...40 8. Källförteckning...41 9. Bilagor...44

1

Centrala begrepp

x Brute-force attack – En brute-force attack avser en attackvektor där alla möjliga kombinationer av ett eller flera tecken testas för att hitta rätt lösenord. x Hashning – Med hashning menas att ett lösenord, genom en matematisk

beräkning, omvandlas till ett kontrollvärde. När en användare ska logga in jämförs kontrollvärdet (hashen) med det hashade lösenordet som finns i systemet. Om de överensstämmer så godkänns inloggningen.

x Kontextbaserat lösenord – Ett kontextbaserat lösenord är ett lösenord som exempelvis består av användarnamnet eller e-handelsplatsens webbadress. x Lösenordskomplexitet – Lösenordskomplexitet avser hur många olika

teckenklasser som lösenordet ska ha tecken från.

x Lösenord av god kvalitet – Lösenord av god kvalitet innefattar alla faktorer som sammantaget bidrar till att göra ett lösenord säkert. Med faktorer avses lösenordets komplexitet, teckenlängd och användbarhet. I lösenordskvalitet ingår också kontroller mot lösenord där innehållet kan medföra att lösenordet är svagt.

x Meningsbyggt lösenord – Med ett meningsbyggt lösenord avses ett lösenord som skapas från en mening, till exempel ”Jag arbetar med datorer och säkerhet”. Med ett meningsbyggt lösenord avses också att lösenordet är byggt med ord som har mening för den som skapar det.

x NIST – National Institute of Standards and Technology är en organisation som bedrivs av USA:s handelsdepartement och som ger ut rekommendationer till amerikanska myndigheter inom informationssäkerhetsområdet.

x Ordbok – Med ordbok menas en på förhand gjord lista med ord eller teckenkombinationer som används för att angripa lösenordshemligheten. x Repetitivt lösenord – Ett repetitivt lösenord är ett lösenord som består av flera

ord som repeteras, exempelvis ”passwordpassword” eller ”abcabc”.

x Sekventiellt lösenord – Ett sekventiellt lösenord är ett lösenord som består av fler tecken som repeteras, exempelvis ”aaaa” eller ”1111”.

x Teckenklasser – Med teckenklasser avses att tecken kan delas i kategorier av gemener, versaler, siffror samt specialtecken.

2

1. Introduktion

Detta avsnitt är en introduktion till uppsatsen och innehåller det valda syftet, forskningsfrågorna och den målgrupp som studien görs för.

1.1. Bakgrund

Idag har internet blivit något av en nödvändighet för människor då fler och fler handlingar som tidigare skedde i den fysiska världen nu har flyttats över till den digitala. Värdefulla webbplatser skapas, besöks och integreras med varandra. Svenskar använder internet för många tjänster och de registrerar konton på flera e-handelsplatser för att beställa varor och använda tjänster. Statistik visar att e-handeln ökar för varje år, vilket innebär att dessa e-handelsplatser får fler kunder (Postnord, 2019; Statistiska centralbyrån, 2017).

Att skydda informationen i ett informationssystem, vilket ett e-handelssystem är, är ett centralt område inom informationssäkerhet (NIST, u.å.). Den vanligaste metoden för åtkomst till ett konto är en kombination av ett användarnamn och ett lösenord (Stallings & Brown, 2012; Florêncio & Herley, 2010). Det som specifikt skyddar informationen är lösenord eftersom det spelar den viktigaste rollen för säkerheten i alla lösenordsskyddade system enligt Kävrestad, Eriksson och Nohlberg (2019). Samtidigt gör Cazier och Medlin (2006) gällande att det huvudsakliga problemet med lösenord är det faktum att det är den enklaste säkerhetsmekanismen att forcera. Lösenord är avsedda att verifiera en individs påstådda identitet och att se till att endast behöriga, exempelvis anställda eller privatpersoner, kan komma åt ett nätverk eller ett enskilt system (Pfleeger, Pfleefer, & Margulies, 2015). Cazier och Medlin (2006) visar i sin studie på att det huvudsakliga problemet som finns vid lösenordsskapande är att användarna vanligtvis skapar lösenord som de lätt kan komma ihåg. Samma studie tar också upp att språket som användarna använder för att komponera lösenordet har betydelse vid lösenordsskapande; användarna väljer de lösenord som är enkla för dem. I en studie av Shay et al. (2016) så visas att användare föredrar enkelhet istället för säkerhet vid lösenordsskapande, vilket resulterar i att det kan bli enklare för hackare att avslöja lösenorden. Om en hackare framgångsrikt lyckas avslöja ett lösenord för en användare så kan det leda till förlust av företagsinformation, betalkortsnummer eller programvara vilket kan leda till ekonomisk och förtroendemässig skada för företaget samt till oro hos kunderna (Pfleeger et al., 2015). Eftersom hackare använder sig av teknik och metoder som ständigt utvecklas för att komma åt lösenordshemligheten, så borde i gengäld e-handelsplatserna enligt Florencio och Herley (2010) också ha hög säkerhet för att skydda systemet mot dessa

3

hackare för att säkra sina kunders och företagets information. Vid lösenordsskapande måste användare skapa sina egna lösenord av god kvalitet utifrån en kombination av längd och tecken som är unikt, vilket enligt Ma, Campbell, Tran och Kleeman (2010) är en förutsättning för att det ska kunna betraktas som säkert. Omvänt så kan dåliga lösenord lätt forceras eftersom en angripare kan undersöka ett systems regler för lösenordskomposition för att komma åt kontoinformationen (Shay et al., 2016). Cazier och Medlin (2006) uttrycker att konsekvensen av detta är att den enklaste ingången i ett IT-system för en angripare är ett dåligt lösenord och därmed blir det mest avgörande säkerhetsskyddet det svagaste.

Syftet med denna studie är att skapa ett analysramverk utifrån vilket lösenordskvaliteten på e-handelsplatser kan bedömas. Motivet bakom denna studie är att analysera hur bra lösenordskvaliteten upprätthålls på svenska e-handelsplatser, så att slutanvändarna kan få en uppfattning om de e-handelsplatser som prioriterar sina slutanvändare genom att säkra deras personliga information. E-handelsplatserna som inte fokuserar på sin webbplatssäkerhet sätter sina kunder i fara för exempelvis bedrägerier (Pfleeger et al., 2015). Om e-handelsplatserna misslyckas med att tillhandahålla e-handelssäkerhet finns det en risk att kunders data komprometteras vilket riskerar att resultera i en minskning av e-handelsplatsens intäkter och kundernas förtroende. Av dessa skäl ger denna analys hjälp till kunder att få en uppfattning om vilka e-handelsplatser som prioriterar sina kunders personliga information vilket i sin tur kan leda till att klienterna väljer att inte handla från en e-handelsplats, där de riskerar att förlora sin personliga information.

Tidigare studier har gjorts gällande lösenordskrav för e-handelsplatser (Florêncio & Herley, 2010; Mayer, Kirchner, & Volkamer, 2017). I litteraturavsnittet diskuteras en del av det relaterade arbetet och särskilt finns ett stort antal rekommendationer för hur lösenord av god kvalitet ska vara konstruerade (Burr et al., 2013; Grassi, Fenton et al., 2017; Ma et al., 2010; Komanduri et al., 2011). Till skillnad från tidigare rekommendationer, som betonade lösenordskomplexitet som den viktigaste faktorn, anses nu lösenordslängd vara den viktigaste för att uppnå god lösenordskvalitet (jfr. Burr et al. (2013) och Grassi, Fenton et al. (2017)).

1.2. Syfte

Syftet med denna studie är att skapa ett analysramverk utifrån vilket lösenordskvaliteten på e-handelsplatser kan bedömas. Motivet till denna studie är att analysera hur god kvalitet som upprätthålls på svenska e-handelsplatser så att slutanvändarna kan få en uppfattning om de e-handelsplatser som prioriterar sina slutanvändare genom att säkra deras personliga information. E-handelsplatserna som

4

inte fokuserar på sin webbplatssäkerhet sätter sina kunder i fara för bedrägerier. Denna analys ger kunderna möjlighet att få en uppfattning om e-handelsplatserna som prioriterar sina kunders integritetsskydd, eftersom kunderna kan förmodas att de inte skulle handla från en e-handelsplats där det finns risk för att de förlorar sin personliga information.

1.3. Forskningsfrågor

1. Hur effektivt är e-handelsplatsernas sätt att ha kvalitet på kundernas lösenordssäkerhet?

2. Vilken typ av förbättringar kan ägare av e-handelsplatser göra för att förbättra lösenordens kvalitet?

3. Vilka är effekterna av dåliga lösenord när det gäller säkerhet?

4. Hur får kunderna en uppfattning om säkerheten för sina personuppgifter på e-handelsplatser?

1.4. Målgrupp

Målgruppen för denna studie är både ägarna till e-handelsplatserna och kunderna. Studien ger en översikt för kunderna om hur olika webbplatser hanterar lösenordssäkerhet i syfte att säkra deras personliga information. Å andra sidan är denna studie en hjälp för e-handelsplatsägarna eftersom det är en oroande situation för de som inte prioriterar lösenordssäkerhet, vilket innebär en risk för att deras kunder utsätts för bedrägerier. Denna studie ger också vägledning till dessa e-handelsplatsägare om vilka nödvändiga åtgärder de behöver vidta för att säkra sina kunders lösenord i syfte att förbättra säkerheten.

5

2. Teori och tidigare forskning

I detta avsnitt kommer tidigare forskning inom området som lösenordsautentisering, lösenordets tekniska aspekter, användbarhet och lösenordskvalitet att presenteras. Mot slutet av kapitlet görs en sammanställning av teorin, vilken kommer användas i syfte att skapa ett analysramverk utifrån vilket lösenordskvaliteten på e-handelsplatser kan bedömas.

2.1. Tidigare forskning om e-handelsplatsers lösenordskvalitet

I litteratursökningen har två studier påträffats där kraven på lösenordskvalitet på e-handelsplatser har kunnat jämföras över tid (Florêncio & Herley, 2010 och Mayer et al., 2017). Den första studien utfördes 2010 och undersöker amerikanska e-handelsplatsernas krav på lösenordsstyrka relaterat till bland annat företagens omsättning. Studiens resultat visar att e-handelsplatsernas omsättning och kravet på lösenordsstyrka inte följer varandra. Artikelförfattarna menar att detta beror på att företag med stor omsättning inte vill att kunderna ska vända sig till konkurrenter och därför har e-handelsplatsernas krav på lösenordskvalitet satts lågt. En uppföljande studie genomfördes av en annan forskargrupp i syfte att kunna se om det skett några skillnader under tiden mellan den första studien 2010 och den nya studien 2016 (Mayer et al., 2017). Resultatet av uppföljningsstudien visar att de amerikanska e-handelsplatserna hade förbättrat sina krav på lösenordskvalitet, men att lösenordskraven på de studerade e-handelsplatserna fortfarande bedömdes vara avsevärt lägre än lösenordskraven som ställts upp på exempelvis myndigheters webbplatser som också ingick i studien (Mayer et al., 2017). I uppföljningsstudien ingick också att jämföra tyska e-handelsplatsers krav på lösenordsstyrka med de amerikanska e-handelsplatserna och resultatet visade att de tyska sajterna genomgående hade lägre krav på lösenordsstyrka jämfört med de amerikanska sajterna.

2.2. Lösenordsautentisering

Textlösenord är den vanligaste autentiseringsmetoden som används i datorsystem (Kelley et al., 2012; Komanduri et al., 2011; Ma et al., 2010). Autentiseringens syfte är att verifiera att en person verkligen är den som han eller hon utger sig för att vara (Ma et al., 2010). National Institute of Standards and Technology (NIST) gör gällande att det finns tre huvudgrupper vid autentisering av en användare; någonting man har,

någonting man är eller någonting man vet (Grassi, Garcia, & Fenton, 2017).

6

användarnamnet kan bekräfta att man är den man utger sig för att vara. Ett exempel på någonting man är, kan vara ett fingeravtryck eller någon annan biometrisk information som är knuten till personen. Någonting man vet, kan vara en pinkod eller ett textlösenord (Grassi, Garcia, & Fenton, 2017). Lösenordsbaserad autentisering bygger på en avvägning mellan tre faktorer; komplexitet, kvalitet och användbarhet (Komanduri et al., 2011; Florêncio & Herley, 2010; Yan, Blackwell, Anderson, & Grant, 2004).

2.3. Lösenordets tekniska aspekter

I följande underavsnitt kommer teorier om lösenordets tekniska aspekter att presenteras. Med lösenordets tekniska aspekter avses i uppsatsen faktorer som har att göra med lösenordets komplexitet och längd. I underavsnittet tas det också upp vilka metoder som finns för att kunna forcera ett lösenord samt metoder för att tekniskt skydda lösenordshemligheten i ett e-handelsperspektiv.

2.3.1. Lösenordskomplexitet

Lösenordskomplexitet för textbaserade lösenord, i fortsättningen kallade lösenord, definieras utifrån hur många så kallade teckenklasser som används i lösenordet (Shay et al., 2016). Ett lösenord med låg komplexitet har tecken som bara är hämtade från en eller två klasser, som gemener och versaler (exempelvis ”ABBA” eller ”Abba”), medan ett lösenord med hög komplexitet kan vara uppbyggt med tecken från tre eller alla fyra klasser (exempelvis ”KhlieD29” eller ”Aa1#Bb2!”) (Shay et al., 2016). Det finns olika uppfattningar om vilka kombinationer av klasser och lösenordslängd som ger bästa lösenordsstyrka (jfr. Shay et al., 2016 och Ma et al., 2010). Shay et al. (2016) testade styrkan hos lösenord som skapats med olika kompositionsstrategier. Testerna på lösenordskompositioner gjordes med lösenord från åtta till tjugo tecken och med eller utan krav på teckenklasser samt med eller utan krav på kontroll mot en ordbok. Resultatet visade att lösenord som är långa och komplexa har högst lösenordsstyrka. Samtidigt är det de lösenorden som artikeln menar är svårast att komma ihåg. Resultaten av studien visar också att lösenordshemligheten i upp till 90% av fallen förblir intakt vid 10 miljoner försök, för samtliga testade lösenordskompositioner (Shay et al., 2016). Ma et al. (2010) menar i sin studie att ett lösenord ska innehålla minst tre specialtecken samt ett versalt eller gement tecken (utöver en teckenlängd om minst åtta tecken) för att ha en god kvalitet.

Cazier och Medlin (2006) menar att ett lösenord bör bestå av tecken från alla teckenklasser. Studien tar samtidigt upp att lösenorden ska vara lätta att komma ihåg för att användarna ska ha möjlighet att memorera dem. Ett sätt att uppnå det är att

7

exempelvis skapa en lång mening och därefter ta de första tecknen i varje ord för att skapa ett lösenord (Cazier & Medlin, 2006). Lösenordet ”Jag föddes 1998 den tredje december!” blir med denna strategi ”Jf1dtd!”.

Det finns också studier som gör gällande att komplexitet inte bör användas som faktor vid lösenordsskapande (Kelley et al., 2012; Grassi, Fenton et al., 2017). Artikelförfattarna menar att lösenord istället ska komponeras med lösenordslängd som den viktigaste faktorn då komplexa lösenord skapar problem för användarna att komma ihåg lösenordet. Användare har svårigheter att komma ihåg komplexa lösenord vilket kommer utvecklas under avsnittet 2.4 ”Lösenord och användbarhet”. Enligt Shay et al. (2016) är en vanlig uppfattning hos användare att ökad komplexitet, där tecken ur alla fyra kategorierna används, ökar lösenordskvaliteten. Som exempel visas att användarna använder utropstecken i slutet av lösenordssträngen eller att de helt enkelt byter ut vissa bokstäver mot siffror eller symboler. Även Mayer et al. (2017) pekar på att detta tillvägagångssätt inte nödvändigtvis kommer stärka kvaliteten på lösenorden, då angripare är väl medvetna om människors förutsägbara beteende. Att ta med specialtecken i lösenorden ger enligt den studien således enbart en falsk trygghet, och deras slutsats stöds av NIST som också tar upp problemet med människors förutsägbara mönster:

”For example, a user that might have chosen ”password” as their password would be relatively likely to choose ”Password1” if required to include an uppercase letter and a number, or ”Password1!” if a symbol is also required.” – Grassi, Fenton et al., (2017)

2.3.2. Lösenordslängd

Ett lösenord med många tecken ger enligt NIST en högre lösenordsstyrka eftersom det tar längre tid för ett brute-force program att forcera lösenordet om alla teckenkombinationer måste prövas (Grassi, Fenton et al., 2017). Shay et al. (2016) visar i sin studie att långa lösenord utan krav på komplexitet som testas mot brute- force attacker bättre står emot angrepp än korta lösenord som är byggda med krav på lösenordskomplexitet. Studien visar även på svagheter med att använda lösenordslängd för att bedöma ett lösenords kvalitet. Som exempel visas att ett lösenord med 16 tecken, om det är skapat av fysiska användare, inte med nödvändighet är säkrare än ett kortare lösenord. Artikelförfattarna gjorde en undersökning där ett antal försökspersoner skapade lösenord utifrån kravet att lösenordet skulle ha minst 16 tecken. Resultatet visade att långa lösenord ofta skapades på förutsägbara sätt av försökspersonerna, exempelvis ”passwordpassword” (Shay et al., 2016). Som förslag till lösning på problemet anger artikelförfattarna att

8

alltför vanligt förekommande ord och ordkombinationer kan svartlistas när lösenord ska skapas. Cazier och Medlin (2006) och Shay et al. (2016) gör också gällande att användare väljer lösenord i den nedre delen av de uppställda kraven när ett lösenord ska skapas.

Garcia (2017) menar att ett sätt att få användare att skapa längre lösenord är att uppmana dem att använda meningsbyggda lösenord, som innebär att lösenord komponeras av ord eller andra tecken som har mening för den som skapar det. Även Cazier och Medlin (2006) pekar på detta då de menar att lösenord bör skapas med ”Familiar chunks”, alltså en sekvens av ord eller tecken som finns i användarens begreppsvärld.

Användningen av meningsbyggda lösenord ökar (Rao, Jha, & Kini, 2013). Artikelförfattarna menar att orsaken till ökningen är att forskare och organisationer rekommenderar detta som en avvägning av krav på lösenordslängd och användbarhet vid skapande av ett lösenord av god kvalitet.

Rao et al. (2013) pekar i sin studie på att det finns problem med att förlita sig på att skapa så kallade meningsbyggda lösenord då längden på lösenordet inte är något som i sig innebär att lösenordet är säkrare. Studien utgår från att meningsbyggda lösenord skapas med grammatiska strukturer vilka kan ge förutsägbara mönster av ord (Rao et al., 2013). Artikelförfattarna menar att ett meningsbyggt lösenord kan bli forcerat, givet att det meningsbyggda lösenordet har byggts på ett språkligt korrekt sätt, då det är möjligt för en angripare att använda sig av samma strategi för att attackera lösenordet, som skaparen av lösenordet hade. De menar dock att en ordboksbaserad attacks resultat också är beroende av kvaliteten på ordboken. Resultatet av studien visar att det var möjligt att minska tiden för att avslöja de meningsbyggda lösenorden, vid användning av hypotesen som de ställt upp.

Kelley et al. (2012) och Komanduri et al. (2011) menar att ett lösenord bör vara konstruerat av minst 16 tecken utan krav på lösenordskomplexitet. Deras studier utgår från en jämförelse mellan en beräknad lösenordsstyrka hos NIST:s då gällande standard för lösenord, som fokuserade på komplexitet, och ett lösenord på 16 tecken utan krav på komplexitet. Resultatet av deras studie visar att lösenordsstyrkan är samma för dessa lösenord men att ett lösenord utan krav på komplexitet är lättare för användare att komma ihåg.

NIST anger i sina nya rekommendationer olika regler för hur maskingenererade och lösenord som genererats av människor ska vara utformade (Grassi, Fenton et al., 2017). Detta beror på att människor skapar lösenord utifrån mer förutsägbara mönster än datorer. Lösenord som skapas av fysiska användare behöver därför vara längre varför de rekommenderar att lösenordslängden ska vara lägst åtta tecken när fysiska användare skapar lösenord (Grassi, Fenton et al., 2017). Detta avviker från deras

9

tidigare rekommendation på lösenordslängd som angav att ett lösenord bör ha sex tecken (Burr et al., 2013).

NIST rekommenderar att lösenordets teckenlängd ska vara i förgrunden och de menar att längden har en större inverkan på lösenordets säkerhet i jämförelse med lösenordskomplexiteten (Grassi, Fenton et al., 2017). De ger en rekommendation på att e-handelsplatser ska tillåta användarvalda lösenord som är minst 64 tecken långa.

2.3.3. Metoder för att avslöja ett lösenord i ett e-handelsperspektiv

”Every password can be guessed; password strength is determined by how many guesses are required.” – Pfleeger et al. (2015)

Metoderna för att avslöja ett lösenord i ett e-handelsperspektiv kan delas in i fyra kategorier: 1. Ordboksbaserad attack. 2. Attacker för att gissa lösenord som är sannolika för användaren. 3. Attacker för att gissa troliga lösenord. 4. Attack mot ett lösenord med brute-force-metod (Pfleeger et al., 2015).

En ordboksbaserad attack sker genom att en angripare testar alla möjliga ord som finns i en ordbok i syfte att försöka hitta rätt lösenord till ett konto (Stallings & Brown, 2012; Mayer et al., 2017). Angriparen kan också välja ord som är sannolika för en användare för att försöka röja lösenordshemligheten (Cazier & Medlin, 2006; Mayer et al., 2017). Exempelvis kan angriparen pröva namnet på alla släktingar som användaren har samt dennes namn på husdjur, eller dennes arbetskamrater och intressen eller användarens användarnamn som är att betrakta som en publik uppgift (Pfleeger et al., 2015; Florêncio & Herley, 2010). Närbesläktat med detta är att angriparen försöker att gissa det troliga lösenordet (Cazier & Medlin, 2006; Pfleeger et al., 2015). Med troliga lösenord menas lösenord som människor väljer för att de är enkla att komma ihåg eller som människor troligen väljer. Exempel på sådana lösenord är ”password”, och ”123456” (Pfleeger et al., 2015).

Lösenordshemligheten kan angripas med en brute-force attack (Cazier & Medlin, 2006; Pfleeger et al., 2015; Stallings & Brown, 2012). Brute-force som metod kan utföras på några olika sätt. Den enklaste attacken sker genom att alla möjliga teckenkombinationer testas för att få reda på det rätta lösenordet (Pfleeger et al., 2015). Med detta sätt att pröva sig fram till rätt lösenord så kommer alla lösenord att kunna forceras, givet att det finns obegränsat med tid (Stallings & Brown, 2012). Metodens svaghet är att tiden för att pröva alla möjliga lösenordskombinationer kan vara oändligt (Stallings & Brown, 2012).

10

Som ett praktiskt exempel på hur lång tid ett lösenord tar att forcera med denna metod kan figur 1 användas. Figuren visar en brute-force attack som ska gå igenom ett sökutrymme med fem tecken som valts ur en teckenklass.

Teckenklasserna ger tillsammans en teckenrymd på 26 tecken, vilket multiplicerat med 5 tecken i lösenordet ger 1,24*107 _{i teckenutrymme. I ett scenario där attacken} sker online så anges den beräknade tiden som krävs för att gå igenom hela lösenordsutrymmet till strax under 3,5 timmar och en attack som sker offline forcerar lösenordordet omedelbart.

En brute-force attack som utförs mot ett större teckenutrymme är svårare att forcera, vilket visas i figur 2. Figuren visar tiden som en brute-force attack behöver för att gå igenom ett lösenordsutrymme med 24 tecken som valts ur tre teckenklasser.

Teckenklasserna ger tillsammans en teckenrymd på 85 tecken, vilket multiplicerat med 24 tecken i lösenordet ger 2,05*1046 _{i teckenutrymme. Tiden att med brute-force} forcera detta lösenord är i praktiken oändligt i både ett online- och ett offline-perspektiv.

Figur 1. Beräknad tidsåtgång för att forcera ett lösenord med 5 tecken (Gibson Research Corporation, u.å.).

11

Figur 2. Beräknad tidsåtgång för att forcera ett lösenord med 24 tecken (Gibson Research Corporation, u.å.).

En brute-force attack kan kombineras med exempelvis ord i en ordbok eller med förgenererade ord som ska läggas till den slumpmässiga teckenkombinationen som genererats (Pfleeger et al., 2015). Även kombinationer, ’hybrid brute-force attacks’, exempelvis där ord som finns i en ordbok, men där varje enskilt ord förändras, ingår i kategorin brute-force (Pfleeger et al., 2015). Exempel på en ”hybrid brute-force attack” är ordet ’bil’ som ändras till att bli ’b1l’ ’bil1’ Bil’ ’BiL’, Bil2’ etcetera, vilket testas mot ett kontos lösenordshemlighet (Pfleeger et al., 2015).

2.3.4. Metoder för att tekniskt skydda lösenordshemligheten i ett e-handelsperspektiv

I ett e-handelsperspektiv finns det två olika sätt som en angripare obehörigen kan angripa ett kontos lösenordshemlighet; genom en online-attack och genom en offline-attack (Shay et al., 2016; Pfleeger et al., 2015; Florêcio & Herley, 2010).

I en online-attack måste angriparen skicka trafik över ett nätverk för att försöka forcera lösenordshemligheten. Den attackmetoden genererar trafik som kan upptäckas av intrångsskyddssystem (Stallings & Brown, 2012). Ett lösenord som består av ett ordboksord eller är sekventiellt, förutsägbart eller är kort är enkelt att forcera vid en

12

offline-attack där angreppen kan ske mycket snabbt (Stallings & Brown, 2012). I motsats till detta finns långa komplexa lösenord som är mycket svåra att forcera (Shay et al., 2016). För att skydda lösenordshemligheten på e-handelsplatser finns det tekniska lösningar som avsevärt saktar ner angreppet på både offline- och online-attacker (Shay et al., 2016; Grassi, Fenton et al., 2017).

Ett sätt att skydda lösenordshemligheten i ett offline-perspektiv är att använda en hashningsmetod på lösenordet som är mycket krävande av ett system att beräkna (Grassi, Fenton et al., 2017; Shay et al., 2016). En offline-attack kan saktas ner genom att exempelvis använda hashningsalgoritmen PBKDF2, vilken rekommenderas av NIST, då den hashningsalgoritmen är designad för att göra offline-försök att forcera lösenord långsammare (Grassi, Fenton et al., 2017).

Lösenord kan skyddas mot online-attacker genom att e-handelsplatsen sätter upp ett tröskelvärde som tillfälligt eller permanent låser ett konto efter ett bestämt antal intrångsförsök (Grassi, Fenton et al., 2017; Florêncio & Herley, 2010). Försöken kan också upptäckas med intrångsdetektionssystem där avvikelser i nätverkstrafiken loggas och analyseras manuellt eller automatiskt (Stallings & Brown, 2012). I NIST:s krav för autentisering, exempelvis längd och komplexitet på lösenordet, är dessa skyddsmekanismer listade under samma sektion som krav på lösenordslängd och lösenordskomplexitet (Grassi, Fenton et al., 2017). NIST gör inte någon åtskillnad på online eller offline där lösenordskravet ska gälla.

2.4. Lösenord och användbarhet

”Highly complex memorized secrets introduce a new potential vulnerability: they are less likely to be memorable, and it is more likely that they will be written down or stored electronically in an unsafe manner.”

- Grassi, Fenton et al. (2017)

NIST har en rekommendation om att användare bör skapa lösenord som baseras på ”…Multiple words that you can picture in your head” (Garcia, 2017). Anledningen som anges till att denna strategi bör användas är att människor är bättre på att komma ihåg genom association än genom repetitiv inlärning. Att användbarheten ökar för ett lösenord som består av kända objekt har visats av Cazier och Medlin (2006) som skriver ”…when humans remember a sequence of items, those items cannot be drawn from an arbitrarily and unfamiliar range, but must be familiar ’chunks’ such as words or familiar symbols”. Som visats under avsnittet 2.3.2 så pekar även Rao et al. (2013) på att användbarhetsaspekten är viktig för att skapa ett lösenord av god kvalitet.

13

I en studie av Cazier och Medlin (2006) så beskrivs att fysiska användare är begränsade till att skapa lösenord med omkring 7±2 tecken. Därtill finns det enligt Shay et al. (2016) också en risk att för höga krav på lösenordskomplexitet kan leda till att personer förvarar sina lösenord nedskrivna på fysiska papper eller på ett oskyddat sätt digitalt (Grassi, Fenton et al., 2017; Pfleeger et al., 2015). I en annan studie visar artikelförfattarna att krav på komplexa lösenord leder till att personer använder ett och samma lösenord i flera system (Cazier & Medlin, 2006), vilket skapar en risk för att ett avslöjat lösenord på en e-handelsplats kan användas av en angripare för att logga in på andra e-handelsplatser.

2.5. Lösenordskvalitet på e-handelsplatser

Med lösenordskvalitet på e-handelsplatser avses i denna studie, utöver lösenordskomplexitet, lösenordslängd och användbarhet, också hur e-handelsplatserna implementerat skydd mot dåliga lösenord. Stallings och Brown (2012, s. 104) gör gällande att lösenord bör kontrolleras med en proaktiv lösenordskontroll. Artikelförfattarna redogör för att användarna har en frihet att bestämma sitt eget lösenord men att det bör kontrolleras mot såväl ”rule enforcement” alltså på vilket sätt ett lösenord ska vara uppbyggt, som mot en lösenordsknäckare, vilket kan utgöras av en kontroll mot ordboksord eller andra svaga lösenordskompositioner. Även NIST gör gällande att lösenord bör kontrolleras på liknande sätt (Grassi, Fenton et al., 2017).

2.5.1. Kraven på bättre lösenordskvalitet

Kraven på bättre lösenordskvalitet har uppkommit genom att forskningen har påvisat att bättre lösenordskvalitet behövs men också för att IT-branschen, utifrån praktiska erfarenheter, signalerar att lösenordssäkerheten måste bli bättre (Kävrestad, Eriksson, & Nohlberg, 2019). Enligt Shay et al. (2016) är kravet på kvalitet av lösenordssammansättningspolicyer ett resultat av IT-branschens och tjänsteleverantörernas oro för den bristande säkerheten som råder för online-konton. Forskning och branscherfarenhet sammantaget har därför lett fram till förslag till begränsningar för vad som bör vara tillåtet i skapandet av lösenord i datorsystem (Shay et al., 2016). Exempel på sådana begränsningar är skydd mot alltför vanligt förekommande lösenordsfraser (exempelvis ”password123”) eller tangentbordsmönster (exempelvis ”qwerty”) (Shay et al., 2016).

14

2.5.2. Hur kan lösenordskvalitet mätas?

För att mäta lösenordskvalitet så utvecklade Ma, Campbell, Tran, och Kleeman (2007), utifrån sin studie, ett teoretiskt ramverk som kallas ”password quality indicator” (PQI). Ramverket utgår från tiden som det tar att avslöja ett lösenord utifrån trial-and-error metoden. Tiden som krävs påverkas av tre faktorer: 1. Hur mycket lösenordet skiljer sig från ett vanligt ord i en ordbok. 2. Hur långt lösenordet är. 3. Hur stor teckentabell lösenordet har (Ma et al., 2007). I deras teoretiska ramverk menar de att ett lösenord av god kvalitet bör vara konstruerat med åtta tecken, varav det ska finnas tre specialtecken samt ett gement eller ett versalt tecken.

NIST anger att en indikator för ett lösenords styrka ska finnas i de fält där lösenord ska anges vid lösenordsskapande (Grassi, Fenton et al., 2017). Ett lösenord som inte har god lösenordskvalitet kommer därigenom att meddelas användaren som får en möjlighet att välja ett annat lösenord.

2.5.3. Skydd mot lösenord av låg kvalitet i ett e-handelsperspektiv

Lösenord som följer rekommendationer om längd och komplexitet kan vara svaga om de är konstruerade på ett sätt som gör att de enkelt kan forceras (Stallings & Brown, 2012; Shay et al. 2016). Exempel på svaga lösenordskonstruktioner är de repetitiva, sekventiella eller kontextbaserade lösenorden. Samma förhållande gäller för lösenord som är skapade med ordboksord eller lösenord som innehåller ord vilka blivit kända som vanligt förekommande lösenord i samband med att databaser med hackade lösenord har avslöjats (Stallings & Brown, 2012). För att skydda en e-handelsplats mot dessa lösenordsval så finns det möjlighet att införa en proaktiv lösenordskontroll (Stallings & Brown, 2012). En proaktiv lösenordskontroll innebär att systemet använder sig av så kallade svarta listor, alternativt dynamiska kontroller utifrån något regelverk, som kontrollerar att ett lösenord inte är uppbyggt på något av ovan angivna sätt som gör det svagt (Stallings & Brown, 2012; Komanduri et al., 2011).

2.6. Sammanställning – vad är ett lösenord av god kvalitet på e-handelsplatser?

Att sammanställa vad som är ett lösenord av god kvalitet på e-handelsplatser innebär att avvägningar måste göras då artiklarna är skrivna under perioder då olika paradigm var rådande. I tidigare rekommendationer från NIST (Burr et al., 2013) var slutsatsen att ett lösenords komplexitet var viktigare än ett lösenords längd. De nya rekommendationerna från NIST om lösenord anger att ett lösenords längd är den viktigaste faktorn för att skapa ett lösenord av god kvalitet (Grassi, Fenton et al.,

15

2017). Till detta kommer ett krav på att lösenordet inte får vara för enkelt att forcera (Grassi, Fenton et al., 2017).

Resultatet av sammanställningen kommer utgöra kriterier i upprättat analysramverk, som presenteras nedan. Analysramverket kommer delas in i inkluderande och exkluderande kriterier i vilket de förstnämnda handlar om vad som ingår i ett lösenord av god kvalitet på e-handelsplatser och de senare handlar om ord, kontextbaserade lösenord, sekvenser av ord eller meningar, upprepningar eller ordboksord som inte bör ingå i ett lösenord. I de fall där det finns olika teorier om vad som utgör ett lösenord av god kvalitet så kommer en redovisning göras avseende dessa skillnader samt en förklaring till vilken teori som ska ingå i analysramverket. Ramverket innehåller också ett avsnitt, 2.6.3, som innehåller en sammanställning för vilka kriterier som ska vara uppfyllda (”ska”-kriterier).

2.6.1. Inkluderande kriterier hos e-handelsplatser med lösenord av god kvalitet

Under detta avsnitt kommer analysramverkets kriterier gällande vad som ska ingå i ett lösenord av god kvalitet på e-handelsplatser att beskrivas som inkluderande kriterier. Lösenordskomplexitet, teckenlängd och användbarhet kommer sammanställas under detta stycke, då det är kombinationen av dessa som användaren utgår från vid lösenordsskapande.

Enligt NIST bör ett lösenord bestå av minst åtta tecken från minst en teckenklass (Grassi, Fenton et al., 2017). Ma et al. (2010) anger att ett lösenord ska ha lägst åtta tecken i vilket det ska finnas tre specialtecken och ett gement eller ett versalt tecken. Både Kelley och Komanduri menar att ett lösenord bör bestå av lägst 16 tecken utan krav på teckenklasser (Kelley et al., 2012; Komanduri et al., 2011). I analysramverket så kommer NIST:s kriterium på teckenlängd vid lösenordsskapande att användas, även om det är det teckenmässigt kortaste kriteriet. NIST bygger sitt kriterium på att ytterligare skyddsmekanismer ska finnas i IT-systemet vilka skyddar lösenord mot online-attacker, exempelvis genom att ett konto blir låst efter ett visst antal misslyckade inloggningsförsök (Grassi, Fenton et al., 2017). För att skydda mot offline-attacker finns beräkningsintensiva hashningsalgoritmer som avsevärt saktar ner attacker som sker offline (Shay et al., 2016). Med tillägget att hashning kan ske med andra algoritmer än de som NIST anger, exempelvis hashningsalgoritmen Argon2i som Gu, Berg, & Chen (2017) anger som lika säker, så motiverar detta att NIST:s kriterium avseende lösenordslängd ska inkluderas i analysramverket. Analysramverkets krav på en lösenordslängd om åtta tecken är ett ”ska”-kriterium för e-handelsplatser som har god lösenordskvalitet, då lösenordslängd är en central del för ett lösenords säkerhet.

16

För kravet på lösenordskomplexitet så menar Ma et al. (2010) att ett lösenord ska bestå av specialtecken och mixade tecken. Även Cazier och Medlin (2006) menar att ett lösenord ska bestå av ”…letters (both upper and lower case), numbers and special symbols.”. Shay et al. (2016) pekar på att krav på lösenordskomplexitet skapar svårigheter för användarna att komma ihåg lösenorden samt att användarna skapar lösenord utifrån förutsägbara strategier (Shay et al., 2016). NIST rekommenderar att kravet på lösenordskomplexitet som de tidigare hade (Burr et al., 2013) bör tas bort och att lösenordslängd (åtta tecken) ska vara den enda kompositionsmässiga begränsningen (Grassi, Fenton et al., 2017). Analysramverket kommer av denna anledning utgå från att krav på lösenordskomplexitet inte ska användas. Frånvaron av krav på lösenordskomplexitet är ett ”ska”-kriterium för e-handelsplatser med lösenord av god lösenordskvalitet.

Enligt Grassi, Fenton et al. (2017) bör alla utskrivbara ASCII-tecken godtas i ett lösenord. Då lösenordskomplexitet har ersatts med en rekommendation om lösenordslängd i NIST:s rekommendation kan inte komplexiteten, som förbättras vid användande av exempelvis svenska tecken (ökad teckenrymd), vara anledningen till att NIST rekommenderar att alla utskrivbara tecken ska tillåtas vid lösenordsskapande. NIST:s rekommendation bygger dessutom på ett engelskt alfabet, vilket har färre tecken än det svenska alfabetet. Analysramverket kommer, av skäl som angivits gällande komplexiteten, att utgå från en teckenrymd med tecknen a-z, A-Z, 0–9 samt specialtecknen. Svenska tecken bör kunna ingå i ett lösenord, då e-handelsplatserna verkar i Sverige, men dessa tecken är inget krav på e-handelsplatser som ska anses ha lösenord av god kvalitet i analysramverket, däremot bör det tillåtas. Analysramverket kommer att använda NIST:s rekommendation om att e-handelsplatsen ska tillåta användarvalda lösenord som är minst 64 tecken långa. I ett användbarhetsperspektiv är ett meningsbyggt lösenord något som kan underlätta för användarna att komma ihåg lösenordet (Garcia, 2017). En rekommendation på en tillåten teckenlängd om minst 64 tecken ger möjlighet att skapa meningsbyggda lösenord, men då analysramverket utgår från att ett säkert lösenord kan skapas med åtta tecken och tecknen a-z, A-Z, 0–9 samt specialtecknen, så är detta inget krav i analysramverket för e-handelsplatser med lösenord av god kvalitet, däremot bör det tillåtas.

Garcia (2017) visar på att lösenord kan konstrueras genom att användarna kombinerar bekanta ord och skapar ett meningsbyggt lösenord. Mot detta ska ställas att Rao et al. (2013) anser att meningsbyggda lösenord riskerar att vara svaga eftersom användare bygger lösenord enligt bekanta grammatiska strukturer. Analysramverket kommer att inkludera Garcias synsätt att lösenord blir längre och svårare att forcera om de är meningsbyggda. Även Kelley et al. (2012) och Komanduri et al. (2011) pekar på att lösenord bör vara lägst 16 tecken, samtidigt som de tar upp användbarhetsperspektivet

17

som en faktor som behöver beaktas. Av samma skäl som angivits för lösenordslängd och svenska tecken, så utgör inte meningsbyggda lösenord något krav i analysramverket för e-handelsplatser med lösenord av god kvalitet, däremot bör det tillåtas.

Inkluderande kriterier som kännetecknar e-handelsplatser med lösenord av god kvalitet är att e-handelsplatsen:

x ska ha krav på att lösenordet ska bestå av lägst åtta tecken, x ska ha frånvaro av krav på komplexitet,

x bör acceptera utländska tecken, exempelvis svenska tecken,

x bör tillåta användarvalda lösenord som är minst 64 tecken långa, samt x bör informera om att meningsbyggda lösenord rekommenderas.

2.6.2. Exkluderande kriterier hos e-handelsplatser med lösenord av god kvalitet

Nästa del i analysramverket handlar om de exkluderande kriterierna för ett lösenord av god kvalitet. De exkluderande kriterierna innebär ord, kontextbaserade lösenord, sekvenser av ord eller meningar, upprepningar eller ordboksord som inte ska ingå i ett lösenord (Stallings & Brown, 2012; Pfleeger et al., 2015). Kontroll av lösenord bör ske, som visats ovan i avsnitt 2.5.3, då exempelvis användare kan använda ord eller mönster som försämrar lösenordets hemlighet (Stallings & Brown, 2012). Den redovisade teorin innehåller inga motsägelser vad gäller att lösenord inte bör finnas i listor över vanliga hackade lösenord eller att de är sekventiella, kontextbaserade eller består av enstaka ord som återfinns i ordböcker (Stallings & Brown, 2012). Av skäl som redovisats under avsnitt 2.3.3 ”metoder för att avslöja ett lösenord i ett e-handelsperspektiv” kommer därför dessa kriterier att inkluderas i analysramverket utan ändring.

Exkluderande kriterier som kännetecknar e-handelsplatser med lösenord av god kvalitet. Deras lösenord ska inte:

x bestå av ord som finns högst upp i listor över vanliga hackade lösenord, x vara sekventiella, kontextbaserade eller repetitiva samt

18

2.6.3. Bedömning av hur god kvalitet det är på svenska e-handelsplatsers lösenord när användare ska skapa ett konto

Av skäl som angivits ovan avseende lösenords komplexitet, längd och användbarhet samt behövligheten för kontroller av lösenord ska e-handelsplatser med god lösenordskvalitet lägst uppfylla samtliga nedanstående kriterier (”ska”-kriterier). E-handelsplatsernas lösenord ska:

x bestå av lägst åtta tecken,

x ska ha frånvaro av krav på komplexitet, och x ska testas mot de exkluderande kriterierna.

19

3. Metod

Under detta avsnitt beskrivs vilken analysmetod som valts för att undersöka data som samlats in i det empiriska momentet. Även metod för teoriinsamling, vilket urval som har gjorts, samt vilka avgränsningar som finns och etiska avvägningar beskrivs.

3.1. Kvantitativ eller kvalitativ ansats

Då data som samlas in i denna studie inhämtas med utvärderingsformulär så är det enligt Denscombe (2016) data som typiskt sett är kvalitativ. Enligt Oates (2006) så är det inte data i sig som bestämmer vilken ansats som en uppsats ska utgå från, utan data kan användas för såväl en kvalitativ som kvantitativ ansats. Forskningsfrågorna i denna uppsats är av utredande karaktär då de gäller förbättringar som kan göras, vilka effekter något har och hur någonting upplevs eller uppfattas, något som enligt Nyberg och Tidström (2012) är fenomenen som ska utredas för att få djupare förståelse för e-handelsplatsers krav på lösenordskvalitet, vilket i sin tur talar i riktning för att en kvalitativ ansats skall användas, varför denna ansats används i studien.

3.2. Metod för teoriinsamling

Informationsinsamlingen till denna studie började med en insamling av information kring hur en litteraturstudie bör skrivas samt hur litteratursökningar bör hanteras. Primära källor för utformandet av litteraturstudien har varit Oates (2006), Webster och Watson (2002) samt Rienecker och Jörgensen (2014). I första hand har de mer omfattande principerna följts, likt hos de två första artikelförfattarna i ordningen när det kommer till riktlinjer för litteraturrecensioner, men också Rienecker och Jörgensen (2014) för studiens sökprocesser. Exempel på hur denna studie har tillämpat referenslitteraturens principer kommer att beskrivas mer utförligt fortsättningsvis i detta avsnitt. Webster och Watson (2002) anger i sin artikel sju kriterier som kännetecknar hur en idealisk litteraturstudie bör se ut. En önskvärd studie ska bland annat vara konceptcentrerad, förklarande och kreativ (Oates, 2006; Webster & Watson, 2002). Litteraturstudien i denna studie har haft som mål att eftersträva dessa kriterier genom att bland annat skapa en konceptmatris och förhålla sig till de punkter som författarna av dessa källor i övrigt också lyfter fram. Ytterligare exempel är att granska relevant tidigare litteratur inom IS och relaterade områden och utveckla en modell för att vägleda framtida forskning (Webster & Watson, 2002). Som ett exempel på det sistnämnda, kan nämnas att denna studie har ett syfte att skapa ett analysramverk utifrån vilket lösenordskvaliteten på e-handelsplatser kan bedömas, vilket således skulle kunna ses som ett bidrag till en modell att vägleda framtida

20

forskning i enlighet med Webster och Watson (2002) riktlinjer. Analysramverket i denna uppsats bygger därtill på tidigare forskning inom IS, vilket också är i linje med ytterligare ett av Webster och Watson (2002) önskade kriterier.

I enlighet med Oates (2006) beskrivning om hur en litteraturrecension bör inledas, att se över forskningsfältet i stort och att leta inspiration samt att finna kandidater till sökord för studien, togs ett antal nyckelord fram som ansågs vara relevanta för denna studie i en inledande fas. Med hjälp av indexering av sökorden i Oates (2006) konceptmodell, delades sökordskandidater in i matriser för en tydligare översikt och därefter påbörjades sökningar i databaserna med anknytning i första hand till ämnet informatik (för sökord som användes i sökningen, se tabell 1). Sökningar inhämtades därefter utifrån hänsyn till studiens avgränsade område, utifrån artiklarnas abstracts, titel och nyckelord enligt Oates (2006) princip att inte göra en för tidig fördjupning i allt funnet material, utan istället nyttja sammanfattningar (eng: abstracts). Material som ansågs mer relevant i en andra fas av utvärderingen blev mer grundligt undersökt i dess olika avsnitt. Flera av dessa artiklar finns att finna i tabell 1. Utifrån valt material gjordes temporära konceptmatriser för att kartlägga de olika källornas innehåll, enligt både Oates (2006) och Webster och Watson (2002) principer om att omvandla materialet från författarmaterial till en konceptcentrerad översikt.

De tre sökmetoderna som använts i sökprocesserna för denna studie benämns som kedje-, slump- och systematisk sökning (Rienecker & Jörgensen, 2014). I ett tidigt skede för att definiera de mest relevanta nyckel- och sökorden, som tidigare nämnts enligt Oates (2006) principer, gjordes slumpmässiga sökningar primärt i Örebro Universitetsbiblioteks rekommenderade databaser inom ämnet informatik. I de sökträffar som databaserna returnerade (för de sökord som blev relevanta att ha kvar, se tabell 1) var det i samtliga fall möjligt att få fram nyckelord som andra författare använt inom samma område, som det som avsågs att undersökas. Dessa nyckelord granskades också, exempel på ord som var förekommande var “password” och “security”. Dessa förslag var också till hjälp för att hitta fler relevanta artiklar under sökningsfaserna.

Med jämna mellanrum under arbetets gång har också andra författares referenser undersökts i den litteratur som funnits med i sökningarna, varpå kedjesökning (Rienecker & Jörgensen, 2014) har tillämpats. Genom detta har det varit möjligt att ytterligare finna flera av andra citerade artiklar, vilka har haft relevans för studien (se tabell 1 för sökträffar vid kedjesökning). Denna sorts sökning har också varit ett effektivt sätt att kontrollera källorna som valts ur sökningarna, gällande vilken trovärdighet (som att funnen källa är peer-reviewed) samt vilken placering ämnesmässigt och i enlighet med Webster och Watson (2002) principer var eventuella luckor i forskningsfältet kan tänkas finnas för studien att leta efter. En sammanfattning av artiklar, sökord och sökträffar finns i sin helhet i tabell 1.

21

Sökträffar Sökord Artiklar

29 TITLE-ABS-KEY(("electronic commerce" OR "e-commerce" ) AND "strong" AND security AND password )

Cazier & Medlin (2006) Florêncio & Herley (2010)

21 TITLE-ABS-KEY("password composition policy" ) Kelley et al. (2012) Komanduri et al. (2011) Mayer et al. (2017) Shay et al. (2016)

16

TITLE-ABS-KEY (( crack OR cracking ) AND ( secure OR securi ty ) AND ( password OR passwords ) AND entropy )

Kelley et al. (2012) Yan et al. (2004)

33 TITLE-ABS-KEY ("long

passwords" AND ( secure OR security ) )

Shay et al. (2016) Rao et al. (2013)

66

TITLE-ABS-KEY ( dictionary AND ( password OR passwords ) A ND ( secure OR security ) AND ( complex OR com plexity ) )

Kävrestad et al. (2019) Shay et al. (2016)

22

TITLE-ABS-KEY(dictionary AND security AND password AND length )

Ma et al. (2010) Shay et al. (2016) Kedjesökning Ma et al. (2010) refererade till Ma et al. (2007) Ma et al. (2007) Slumpmässig

sökning

Vid sökning på NIST:s hemsida så påträffades en artikel som Garcia hade skrivit. Då han ingår i samma grupp av författare som Grassi, Fenton, et al. (2017) så bedömdes artikeln som relevant. Gu et al. påträffades genom en Googlesökning på hashningsalgoritmer ”bcrypt vs ” där Argon2i var 3:e förslaget från Google.

Garcia (2017) Gu et al. (2017)

Tabell 1. Lista över gjorda sökningar för att hitta litteratur. Sökningarna gjordes, förutom kedje- och slumpmässiga sökningar, i Scopus och innefattade: Titel, abstract och nyckelord.

3.3. Utvärderingsprotokoll som metod för datainsamling

För att få veta vilka krav på lösenordskvalitet som en viss e-handelsplats har som ingår i denna studie så kommer data att läggas till i ett utvärderingsprotokoll (bilaga 2). Denna data analyseras sedan med en tematisk analysmetod (Oates, 2006). Ett alternativt sätt att samla in data hade varit att göra en enkät till webbplatsägarna i vilken de kunde ha tillfrågats om vilken lösenordskomposition som deras e-handelsplats kräver av användarna samt om orsaken till detta (Oates, 2006). Detta sätt att samla in data valdes bort eftersom de ansvariga på e-handelsplatserna då skulle få en möjlighet att ändra på lösenordskraven på sin e-handelsplats, vilket skulle omöjliggöra att få en rättvisande nulägesbild. Dessutom gjordes bedömningen att då

22

datainsamlingen genomfördes med få e-handelsföretag så ansågs det mer genomförbart att inhämta data genom ett utvärderingsprotokoll.

3.4. Urvalsmetod

Metoden som valts i studien för att göra urvalet är enligt Denscombe (2016) ett subjektivt urval, då urvalet bygger på ett litet antal e-handelsplatser som är ”handplockade för ämnet”. Därtill finns en ”viss kännedom” (Denscombe, 2016) om e-handelsplatserna gällande deras verksamhet, vilket ytterligare motiverat att ett subjektivt urval använts. Studien inkluderar de 15 största e-handelsplatserna ur en urvalsram på 100 e-handelsföretag som i Andersen (2019) identifierats genom att de har störst omsättning i Sverige samt att minst 50% av deras omsättning kommer från e-handel. För ökad tydlighet kommer de utvärderade e-handelsplatserna att skrivas med fetstil genom hela uppsatsen. De utvalda företagen är efter omsättning (i fallande ordning): dustinhome.se, boozt.com, cdon.com, adlibris.com, ellos.se, apotea.se,

nelly.com, komplett.se, mathem.se, jollyroom.com, gymgrossisten.com, inet.se, linasmatkasse.se, bokus.com och lyko.se.

3.4.1. Urvalsbias

Denscombe (2016) menar att urvalsbias innebär att vissa objekt som finns i urvalsramen medvetet läggs till i urvalspopulationen för att exempelvis påvisa att en viss teori stämmer. För att motverka den risken i denna studie så finns en avgränsning i urvalet; observatören kan inte välja ut objekten som ska studeras, utan de 15 största e-handelsplatserna, sett till omsättning, är alltid urvalet.

3.5. Utrustning och genomförande av utvärderingen

För utvärderingen kommer Ubuntu Linux version 19.04 att användas som operativsystem. Systemet kommer köras virtualiserat i en VMware workstation version 15.5.1. Webbläsaren kommer vara Firefox version 71 och den kommer att exekveras i inkognitoläge för att ingen data ska sparas mellan sessionerna. Efter varje försök till kontoskapande på en ny e-handelsplats kommer webbläsaren att startas om. För varje konto som kommer skapas på handelsplatserna så kommer ett nytt e-postkonto att skapas. Detta innebär att totalt 15 e-e-postkonton kommer att skapas för ändamålet. Datainsamlingen genomfördes fredagen den 13 december 2019 samt måndagen den 16 december. En kompletterande datainsamling genomfördes den 8 februari 2020 med intervjufrågan 4 (avsnitt 4.4): “Finns det information på skärmdokumentet som uppmanar användaren att ange ett meningsbyggt lösenord?”

23

som tillkommit senare. Resultatet av datainsamlingen som genomförts kommer att läggas till i bilaga 1.

3.6. Genomförande

Genomförandet sker genom att personen som ska göra utvärderingen ansluter till den e-handelsplatsen från vilken data ska utvärderas. Anslutningen ska ske med en grafisk webbläsare, exempelvis Firefox som använts i denna studie. Data insamlas sedan genom att anteckna e-handelsplatsens krav på lösenordskomposition om detta framgår direkt på skärmdokumentet. Om det inte framgår på skärmdokumentet så kan personen som gör datainsamlingen högerklicka över fältet för lösenordsinmatning och därefter välja ”inspektera element” (gäller Firefox), vilket visas i figur 3. Informationen som ges i fältet ”inspector” är HTML-kod och den kan innehålla informationen som eftersöks (se samma figur).

Figur 3. För att få fram en e-handelsplats krav på lösenordskomposition, där detta inte framgår direkt på skärmdokumentet, kan en möjlighet att få fram denna information vara att titta direkt in i källkoden.

Om reglerna för lösenordskvalitet inte framgår direkt på skärmdokumentet så ska lösenordet ”a” (endast ett tecken) anges i e-handelsplatsens lösenordsfält och därefter ska informationen skickas till e-handelsplatsen. Om svaret från e-handelsplatsen är, antingen i ett nytt skärmdokument eller direkt på samma sida, att lösenordet är

24

otillräckligt, så ska kravet på komposition om det anges på skärmdokumentet föras in i utvärderingsprotokollet.

Anges inga regler på lösenordskomposition, samtidigt som en bokstav accepteras som lösenord, ska detta anses som att kravet på lösenordslängd är ett tecken. Om bokstaven ”a” inte accepteras som lösenord, och det samtidigt inte anges något krav i svaret från IT-systemet, ska detta antecknas i utvärderingsprotokollet. Därefter ska lösenordet byggas på med en gemen bokstav för varje nytt försök. Om lösenordet inte är giltigt efter åtta tecken (”aaaaaaaa”) ska lösenordet sekventiellt kompletteras med ”A”, ”2” och ”#”, det vill säga att tre ytterligare försök görs i vilket respektive tecken läggs till. Om systemet därefter inte accepterar ett lösenord med åtta gemena, ett versalt, ett numeriskt och ett specialtecken så ska e-handelsplatsens krav på lösenordskomposition anses vara okänd och detta ska noteras i utvärderingsprotokollet.

Om kravet på lösenordskomposition anges på skärmdokumentet, eller om det framgår efter en felaktig inmatning av ett lösenord, så är informationen på skärmdokumentet tillräckligt för att bedöma e-handelsplatsens krav på lösenordskomposition.

Om kravet på lösenordskomposition inte framgår på skärmdokumenten ska utvärderingen göras på följande sätt:

1. Användaren ska vara inloggad på sitt konto,

2. användaren ska göra lösenordsbyte och ange ett nytt lösenord för varje punkt i utvärderingsprotokollet som avser att undersöka detta, och

3. resultatet antecknas i utvärderingsprotokollet.

För de fall där ett lösenord genereras automatiskt av e-handelsplatsen, och skickas via e-post, ska samma tillvägagångssätt användas som när kravet på lösenordskomposition inte framgår på skärmdokumenten.

3.7. Analysmetod

Analysen av data kommer att bygga på en deduktiv tematisk analys, som beskrivits av Oates (2006). Anledningen till att en deduktiv utgångspunkt har valts är att det upprättats ett analysramverk med kriterier som empirisk data från e-handelsplatserna ska bedömas utifrån. Risken med en deduktiv analysmetod är enligt Oates (2006) att det är möjligt att bli för låst i en viss teori, och att detta kan inverka på analysen. Då analysramverket skapats som en del av denna uppsats så bedöms risken för detta vara låg. Kriterierna som formulerats under avsnitt 2.6.1 och 2.6.2 kommer vara teman i analysen. Ett tema som sammanställer om e-handelsplatserna ska anses uppfylla analysramverkets ”ska”-kriterier (se avsnitt 2.6.3) kommer att placeras efter analysen av inkluderande och exkluderande teman i analysramverket för att undersöka hur god

25

kvalitet det är på svenska e-handelsplatsers lösenord när användare ska skapa ett konto.

En alternativ analysmetod hade varit att använda grundad teori, vilken enligt Denscombe (2016) hade inneburit att data skulle ha samlats in först för att i ett senare skede induktivt kunnat användas för att, med stöd i teori, skapa ett analysramverk för att kunna undersöka hur god kvalitet det är på svenska e-handelsplatsers lösenord när användare ska skapa ett konto. Grundad teori valdes bort då författarna till denna studie ansåg att ett analysramverk behövde skapas innan data inhämtades varför teoriinhämtningen behövde ske före datainsamlingen.

3.8. Avgränsning

Uppsatsen är avgränsad till att undersöka svenska e-handelsplatser där användarna autentiserar sig med ett textlösenord. E-handelsplatserna som avses att undersökas är de företagen i Sverige som enligt Andersen (2019) har störst omsättning och där minst 50% av omsättningen i respektive företag kommer från e-handel. E-handelsplatserna ska också vara öppna för registrering av konton för privatpersoner.

3.9. Etiska avvägningar och GDPR

I studien kommer ingen interaktion att ske med fysiska personer. Interaktionen kommer att ske med e-handelsplatser som är öppna för allmänheten och de tillåter att alla personer kan registrera ett konto där. Därtill så kommer interaktionen med e-handelsplatsen att ske på ett sätt som är samma som för alla användare som försöker skapa ett konto på e-handelsplatsen. Oates (2006) beskriver detta som ”Rules of the game”, och relaterat till denna studie så kommer ingen part att informeras om studien eller tillfrågas om tillstånd för att göra den. Då ingen data inhämtas som kan användas för att identifiera enskilda personer så är inte frågor gällande hantering av personuppgifter enligt GDPR aktuellt för detta arbete.

Om inga sårbarheter identifieras på e-handelsplatserna vid studien, utöver de riskerna som medföljer att lösenord bedöms ha låg kvalitet, så kommer namnet på e-handelsplatserna att publiceras i rapporten.

26

4. Resultat

I denna del kommer resultatet av insamlade data att presenteras. Vad gäller bortfall så finns det inget bortfall som inträffade. Vid utvärderingen av e-handelsföretaget

jollyroom.se så meddelade skärmdokumentet att ett så kallade 404-fel hade inträffat

vid kontoskapande. Ett 404-fel innebär att dokumentet inte finns. Vid ett försök att skapa kontot två dagar senare så blev det klart att kontot redan skapats två dagar tidigare. Inloggning gjordes och därefter kontrollerades sajtens krav på lösenordskvalitet vid lösenordsskapande.

4.1. Lägsta antal tecken som krävs vid lösenordsskapande

Kravet på lägsta antal tecken som krävs på e-handelsplatserna varierar från endast krav på ett tecken till som mest krav på åtta tecken, vilket visas i figur 4. Typvärdet, värdet som förekommer mest, är sex tecken. Alla utom fem e-handelsplatser,

komplett.se, jollyroom.se, inet.se, linasmatkasse.se och lyko.se, använde ett lägsta

krav på sex tecken för lösenordslängd. Av de fem e-handelsplatserna som avvek från typvärdet så hade tre e-handelsplatser, inet.se, linasmatkasse.se och lyko.se, krav på fem tecken som lägsta lösenordslängd. En e-handelsplats, jollyroom.se, hade ett tecken som lägsta krav på lösenordslängd och ytterligare en e-handelsplats,

komplett.se, hade åtta tecken som lägsta krav för lösenordslängd vid kontoskapande.

Figur 4. Tabellen visar fördelningen för krav på lägsta teckenlängd. Företagen är sorterade i fallande ordning efter omsättning.

0 1 2 3 4 5 6 7 8 9

27

4.2. Antal teckenklasser som krävs

Förutom boozt.com, cdon.com, ellos.se och bokus.com, så hade inga e-handelsplatser krav på att lösenordet skulle innehålla några särskilda teckenklasser, vilket visas i tabell 2. På e-handelsplatserna som hade krav på teckenklasser så krävde tre sajter, cdon.com, ellos.se och bokus.com, att lösenordet skulle bestå av lägst ett gement eller versalt tecken samt ett numeriskt tecken. Den fjärde e-handelsplatsen,

boozt.com, krävde att lösenordet skulle bestå av lägst ett tecken ur varje teckenklass.

För samtliga e-handelsplatser tillkommer dessutom kravet på lösenordslängd för att det ska bli ett accepterat lösenord.

E-handelsplats Inga krav på tecken-klasser Krav på versaler Krav på gemener Krav på numeriska tecken Krav på special-tecken dustinhome.se X boozt.com X X X X cdon.com X (eller gemen) X (eller versal) X adlibris.com X ellos.se X (eller gemen) X (eller versal) X apotea.se X nelly.com X komplett.se X mathem.se X jollyroom.se X gymgrossisten.com X inet.se X linasmatkasse.se X bokus.com X (eller gemen) X (eller gemen) X lyko.se X

Tabell 2. Tabell över krav på teckenklasser vid lösenordsskapande hos de studerade e-handelsplatserna.

4.3. Övre gräns för teckenlängd

13 av 15 handelsplatser har en övre gräns för lösenordslängd på 64 tecken. Två e-handelsplatser, apotea.se och komplett.se, har satt en övre gräns för lösenordslängd på 50 tecken.